Phần mềm độc hại này sử dụng các tệp Word để tải xuống tập lệnh PowerShell từ GitHub

Việc tin tặc sử dụng macro Microsoft Word làm tiền thân của một cuộc tấn công chuyên sâu vào hàng loạt người dùng không phải là ngoại lệ. Một nhóm kẻ tấn công không xác định đã sử dụng tệp Microsoft Word chứa macro để tải xuống tập lệnh PowerShell nghiêm trọng hơn từ GitHub.

Phần mềm độc hại được lưu trữ trên GitHub

Tập lệnh PowerShell này, được lưu trữ trên GitHub, lén lút lập kế hoạch cho tập lệnh Cobalt Strike trên hệ thống Windows. Tập lệnh PowerShell sẽ tải xuống một hình ảnh trông hợp pháp từ Imgur, trang web chia sẻ hình ảnh phổ biến, để thực hiện điều này. Mặc dù không có quyền tác giả nào có thể được quy cho mối đe dọa, nhưng các nhà nghiên cứu có nhiều giả thuyết.

Ví dụ, một số người nói rằng chuỗi phần mềm độc hại có liên quan đến MuddyWater , còn được gọi là SeedWorm và TEMP.Zagros . MuddyWater ra mắt lần đầu tiên trong thế giới phần mềm độc hại vào năm 2017 và kể từ đó đã nhắm mục tiêu đến các quốc gia ở Trung Đông, Châu Âu và Hoa Kỳ.

Mối đe dọa dai dẳng nâng cao này được cho là được các chính phủ hậu thuẫn và sử dụng các kỹ thuật lừa đảo tiên tiến để nhắm mục tiêu vào các quan chức chính phủ từ nhiều quốc gia. Theo các báo cáo đầu tiên, cuộc tấn công phần mềm độc hại mới theo cùng một cách thức để xâm nhập vào thiết bị của người dùng. Tuy nhiên, từ đó trở đi, mọi thứ có một chút khác biệt.

Arkbird , một trong những nhà nghiên cứu đầu tiên vạch trần phần mềm độc hại, nói rằng phần mềm độc hại tuân theo một quy trình làm việc chi tiết để sinh ra các tải trọng. Trong giai đoạn đầu, kẻ tấn công sẽ gửi một tệp Microsoft Word cùng với một macro.

Macro này bắt đầu chạy bất cứ khi nào bạn mở tệp Word và nó cấp dữ liệu trên vị trí GitHub của tập lệnh PowerShell. Sau đó, tập lệnh PowerShell sẽ tiến hành tải xuống tệp hình ảnh có vẻ hợp pháp từ Imgur. Mặc dù có thiết kế đầy màu sắc, hình ảnh được sử dụng như một mồi nhử để tính toán phần tiếp theo của bề rộng trọng tải.

Những kẻ tấn công đã sử dụng kỹ thuật steganography để che giấu mã độc và những thứ nguy hiểm khác dưới lớp ngụy trang của các tệp thông thường như hình ảnh hoặc tài liệu PDF. Trong trường hợp này, tệp PNG trông đẹp sẽ đánh giá cảnh và đề xuất lượng tải phù hợp cho máy tính của bạn.

Tại thời điểm viết bài, những kẻ tấn công dường như đã lưu trữ toàn bộ dự án phần mềm độc hại kể từ trang web và các trang GitHub không thể truy cập được. Với điều đó đã nói, không thể biết có bao nhiêu người đã tải xuống tệp Word có vấn đề và chạy macro.